III. Учебные материалы

В предлагаемом лекционном материале рассматриваются проблемные вопросы информационного менеджмента. Определена целесообразность управления информационными ресурсами организаций. Проанализированы состояние и тенденции развития инфраструктуры рынка информационных продуктов и услуг, стратегического планирования корпоративных информационных систем и их роль в реинжиниринге бизнес-процессов. Освещены возможности использования инструментальных средств поддержки принятия управленческих решений. 

Лекционный материал предназначен для студентов  специальности  080800/351400 "Прикладная информатика (в экономике)", изучающих курс "Информационный менеджмент".

ТЕМА 1

Введение. Понятие информационного менеджмента. Основы информационной культуры современного менеджера. Цели, задачи и содержание курса. Методическое обеспечение курса. Основные проблемы формирования рынка информационных продуктов и услуг.

В настоящее время к каждому руководителю попадают рекламные материалы по автоматизации различных сфер деятельности организации. Рано или поздно он сам пытается понять и решить существующие в его фирме проблемы с информацией и информационными технологиями, так как видит, что организации, в которых менеджеры серьезно занимаются тем, чтобы персонал получал полезную и своевременную информацию, гораздо более успешны, чем те, в которых недостаточно активно следят за этим. Именно владение достоверной и актуальной информацией наряду с умением эффективно применять новейшие технологии ее сбора, преобразования и передачи служит основой успешной деятельности любых предприятий, организаций, учреждений независимо от их организационно-правовой формы. Процесс достижения подобной цели и является миссией информационного менеджмента. 

Определение

Информационный менеджмент - это совокупность средств, методов и технологий управления информационными ресурсами организации и их целенаправленное использование для более успешного ведения бизнеса.

Как видно из определения, информация рассматривается как внутрифирменный ресурс, вполне самостоятельный фактор производства. Информация помогает уютно чувствовать себя на рынке, знать многое о себе, о реальных и потенциальных клиентах, партнерах и конкурентах. Умелое управление этими знаниями может обеспечить фирме преимущества перед потенциальными конкурентами, позволяя быстрее и эффективнее решать проблемы, реагировать на изменения, находить новые рыночные ниши, обучать своих сотрудников. Поэтому основное внимание необходимо уделить изучению структуры, методов планирования, координации, совершенствованию и контролю информационных ресурсов. Специалисты в области информационного менеджмента должны обладать достаточными знаниями, для того чтобы осуществлять общее руководство процессом применения и развития информационных технологий в организации и понимать, когда требуются дополнительные затраты ресурсов в этой области или помощь сторонних фирм. В последнее время руководители достаточно часто сталкиваются с предложением по управлению информацией со стороны специализированных фирм (аутсорсинг) или собственный персонал требует приобрести новые технические средства и программные продукты. Поэтому, каких бы консультантов из консалтинговых фирм ни привлекал руководитель, окончательное решение принадлежит ему, и он должен быть достаточно компетентен в этой области. В настоящее время есть среди консалтинговых компаний и такие, для которых управление знаниями является настолько важным элементом бизнеса, что они необычайно тщательно скрывают свои ноу-хау по работе с информацией от посторонних глаз. Особенно остро вопрос информационного менеджмента стоит в тех ситуациях, когда руководство организацией берется за осуществление проекта по реинжинирингу бизнес-процессов, который невозможно осуществить без использования новейших информационных технологий, так как деловую информацию необходимо своевременно и эффективно извлекать из источников, собирать, хранить, верифицировать, проверять, классифицировать, группировать, организовывать поиск, отбирать, предоставлять ее тем, кто в ней нуждается, и организовывать совместную групповую работу с ней. Поддержка всех перечисленных процедур - дело весьма хлопотное, и без использования автоматизированных средств здесь не обойтись, однако сводить все к чисто технической задаче здесь нельзя, так как роль человеческого фактора в работе с информацией необычайно велика. Опыт последних лет показал, что успех дела зависит от того, насколько управляющие компаниями и менеджеры среднего звена знакомы с методологией внедрения информационных технологий, насколько они находят общий язык со специалистами в области информационных технологий и могут передать им свои недостаточно формализуемые, но глубокие знания об объекте. Только это позволяет разработать оптимальную информационную систему поддержки принятия решений на базе создания интеллектуального интерфейса пользователей со сложными средствами анализа бизнес-моделей. 

Эксперты фирмы Lotus Development выделяют четыре основные стратегии использования информации в реальных бизнес-процессах.

Наиболее распространенная из них – быстрое решение проблем, выработка новых стратегических подходов, координация совместных усилий и адаптация бизнеса к требованиям отдельных клиентов. 

Вторая важная стратегия – усовершенствование бизнес-процессов, создание новых и оптимизация имеющихся процессов, а также заимствование полезного опыта других компаний. По мере накопления знаний в той области, где работает предприятие, время на выполнение отдельных операций постепенно сокращается, а следовательно, и издержки на получение единицы продукта или услуги.

Третья стратегия управления – повышение компетентности сотрудников. В последнее время в ряде компаний появляется должность менеджера по знаниям, который организовывает их накопление в корпоративных базах данных, следит за тем, чтобы информация не исчезла из-за командировки или увольнения отдельного сотрудника, а также разрабатывает процедуры, которые бы обязывали или поощряли специалистов делиться имеющимися у них сведениями. Ошибка многих компаний состоит в том, что они слишком мало внимания уделяют обмену информацией между сотрудниками, поэтому квалифицированный менеджер, выступающий интегратором, может помочь понять, какая комбинация знаний конкретных людей может использоваться компанией для достижения наибольшего успеха.

Наконец, четвертая стратегия управления информацией - использование ее для проведения мозговых штурмов и инновационных проектов. Часто встречаются такие ситуации, когда оригинальные решения по организации бизнеса приходят из неожиданных источников, из пересечения идей и методов, свойственных различным предметным областям.

Можно сформулировать основные требования к квалификации менеджеров в области информационных систем.

• Глубокое профессиональное знание своего бизнеса и его информационных потребностей.

• Понимание возможностей современных автоматизированных и неавтоматизированных информационных технологий.

• Умение определить стратегию развития информационных систем для конкретной организации.

• Умение работать в современной информационной среде.

Надеемся, что из этого вступления видна актуальность проблемы управления информационными ресурсами организации и разработки таких бизнес-технологий, как интегрированные системы управления, архитектурные сетевые решения, системы электронной коммерции, базы данных и базы знаний, системы поддержки принятия решений и информационные системы поддержки исполнения, которые помогают выжить в условиях жесткой рыночной конкуренции. Капитал знаний компании является лучшим индикатором ее устойчивости и перспектив в нынешний информационный век.

Базовые понятия информационного менеджмента

Прежде чем обсуждать проблемы управления информационными ресурсами, введем ряд основополагающих определений, чтобы уточнить используемую терминологию.

Любая деятельность человека основывается на информации.

Определение 

Информация - сведения об окружающем мире, которые уменьшают имеющуюся у нас степень неопределенности, неполноты знаний.

Поскольку мы рассматриваем процессы, с которыми сталкиваются менеджеры в производственной, экономической деятельности, прежде всего нас интересует экономическая информация.

Определение 

Экономическая информация – совокупность сведений о социально-экономических процессах в производственной и непроизводственной сферах.

Отличительные особенности экономической информации:

• большие объемы;

• широкая номенклатура получателей;

• многообразие источников;

• многократные стандартные циклы получения и преобразования.

Экономическая информация позволяет:

• определять стратегические, тактические и оперативные цели в вашем бизнесе;

• принимать обоснованные и своевременные решения;

• координировать действия подразделений в достижении цели;

• осуществлять контроль за текущим состоянием организации.

Определение

Организация - это стабильная формальная социальная структура, которая вступает в определенные отношения с окружающей средой, получает из нее необходимые ресурсы, перерабатывает их в продукты своей деятельности для удовлетворения тех или иных потребностей общества.

В рамках любой организации можно выделить управляемый процесс (объект управления) и управляющую часть (орган управления). Взаимодействие обеих частей в рамках информационного контура системы управления осуществляется, с одной стороны, в виде передачи информации о состоянии управляемого процесса, а с другой - в виде управляющих воздействий. Так как информация существует с момента появления общества, на любой стадии его развития есть потребность в управлении.

Определение

Информационная система организации - совокупность средств сбора, передачи, обработки и хранения информации, а также персонал, который в рамках информационного контура системы управления пытается обеспечить совершенствование организации и достичь поставленной цели. 

Таким образом, миссия информационных систем – производство нужной для организации информации в целях обеспечения эффективного управления всеми ее ресурсами. В зависимости от уровня управления и характера принимаемых решений можно выделить стратегические информационные системы, тактические и оперативного управления. Причем каждый тип информационной системы имеет своих пользователей: высшее руководство, менеджеров высшего и среднего звена, руководителей линейных и функциональных служб. Согласно другой точки зрения, информационные системы могут быть классифицированы по следующим признакам:

• по уровню в системе управления: отраслевые информационные системы, территориальные и информационные системы отдельных организаций;

• сфере функционирования объекта управления: промышленность, образование, транспорт, федеральные и муниципальные органы управления и т.д.;

• виду процессов управления: информационные системы управления технологическими процессами и информационные системы организационного управления;

• степени автоматизации: автоматизированные и традиционные.

На информационную систему организации оказывают влияние многие факторы: ее организационная структура, персонал, дискретность принятия решений, традиционные процедуры их выполнения, уровень корпоративной культуры, существующие технические и программные средства и т. д. Сейчас часто можно услышать такое мнение, что информация является критическим ресурсом, который, если им хорошо распорядиться, может дать большие преимущества перед конкурентами. Поэтому главный вопрос информационного менеджмента в том, хотим ли мы опираться в своих решениях на случайную, неполную информацию или будем сами регулировать процесс поступления информации и управлять ею как одним из главных ресурсов, т.е. как сырьем, капиталом, персоналом. 

В рамках информационной системы любой организации мы имеем дело с документами и документооборотом.

Определение

Документ – информационное сообщение в бумажной, звуковой или электронной форме, оформленное по определенным правилам, заверенное в установленном порядке.

Документооборот – система создания, передачи, приема и архивирования документов, а также контроль за исполнением и защитой от несанкционированного доступа.

Весь объем имеющейся информации в организации можно определить как ее информационные ресурсы.

Определение

Информационные ресурсы – это весь объем знаний, зафиксированных на материальных носителях и предназначенных для общественного использования.

Если возьмем более высокий уровень рассмотрения этого вопроса, то перейдем к понятию информационного потенциала общества, который включает совокупность средств, методов и условий, позволяющих использовать информационные ресурсы. Сюда входит не только весь индустриально-технологический комплекс производства современных средств обработки и передачи информации, но также сеть научно-исследовательских, коммерческих и административных организаций, обеспечивающих информационное обслуживание на базе современной информационной технологии.

Определение

Информационная технология – использование вычислительной техники и систем связи для сбора, передачи, накопления, хранения, обработки информации во всех сферах общественной жизни.

Каждая из перечисленных в определении информационной технологии стадий преобразования и использования информации реализуется с помощью специфической технологии. Цель любой информационной технологии – получить нужную информацию требуемого качества на заданном носителе.

Они могут быть реализованы в автоматизированном и бумажном видах. В каждой из этих информационных систем есть свои преимущества и недостатки.

Преимущества неавтоматизированных технологий:

• простота в установке, возможность базирования на уже существующих операциях;

• отсутствие сложных технических навыков;

• способность адаптации к деловым потребностям.

Основное же преимущество автоматизированных информационных технологий заключается в том, что все экономические факторы и ресурсы выступают в единой информационной форме и служат основой для процесса принятия решений. Объем автоматизации, тип и характер используемых средств зависят от характера конкретной технологии. Вопрос об автоматизации решается положительно в следующих случаях:

• физиологические и психологические возможности человека недостаточны для управления данным процессом;

• система управления находится в среде, опасной для жизни и здоровья человека;

• участие человека в процессе управления требует от него слишком высокой квалификации;

• процесс, которым надо управлять, переживает критическую или аварийную ситуацию.

Однако при этом всегда существуют ограничения на стоимость обработки данных, трудоемкость процессов использования информационного ресурса, надежность и оперативность процесса обработки информации, качество получаемой информации. Автоматизированная информационная технология предполагает существование комплекса соответствующих технических средств, реализующих информационный процесс и системы управления этим комплексом.

На сегодняшний день существуют два основных подхода к проблемам автоматизации. Первый - так называемая локальная, или «лоскутная», автоматизация. Ее примером может служить автоматизация бухгалтерии, склада и любого другого отдельно взятого отдела. Часто речь идет даже не обо всем подразделении, а только об автоматизации конкретного участка работы, например выписки накладных на складе или расчета заработной платы в бухгалтерии. С одной стороны, это некоторый прорыв вперед. Однако при проведении такой автоматизации мы можем столкнуться с ситуацией, когда в бухгалтерии стоит одна программа, на складе - другая, а менеджеры выписывают счета и накладные покупателям с использованием третьей. Некоторые участки уже автоматизированы, а на других работа ведется вручную. При этом одну и ту же информацию нередко приходится вводить в компьютер и обрабатывать несколько раз, часто данные не стыкуются и требуется время для их проверки.

Вторым подходом к проведению автоматизации является комплексное решение всех вопросов в рамках реализации систем поддержки принятия решений (СППР). 

Автоматизированные информационные технологии (АИТ) в настоящее время можно классифицировать по ряду признаков, в частности по:

• способу реализации в корпоративной информационной системе (КИС);

• степени охвата задач управления;

• классу реализуемых технологических операций;

• типу пользовательского интерфейса;

• способу построения сети ЭВМ;

• обслуживаемым предметным областям.

Охарактеризуем наиболее значимые из них. 

По способу реализации АИТ в КИС выделяют традиционно сложившиеся и новые информационные технологии. Если традиционные АИТ существовали в условиях централизованной обработки данных, до массового использования ПЭВМ, и были ориентированы главным образом на снижение трудоемкости при формировании регулярной отчетности, то новые информационные технологии связаны с информационным обеспечением процесса управления в режиме реального времени.

Новая информационная технология - технология, которая основывается на применении компьютеров, активном участии пользователей (непрофессионалов в области программирования) в информационном процессе, высоком уровне дружественного пользовательского интерфейса, широком использовании пакетов прикладных программ общего и проблемного назначения, возможности для пользователя доступа к удаленным базам данных и программам благодаря вычислительным сетям ЭВМ

По степени охвата АИТ задач управления выделяют, во-первых, элек­тронную обработку данных, осуществляемую без пересмотра методологии и организации процессов управления, когда решаются отдельные экономические задачи, обеспечивающие частичную автоматизацию управленческой деятельности. Во втором случае вычислительные средства, включая супер-ЭВМ и ПЭВМ, используются для комплексного решения функциональных задач, формирования регулярной отчетности и работы в информационно-справочном режиме при подготовке управленческих решений. Сюда могут быть отнесены и АИТ поддержки принятия решений. Они предусматривают широкое использование экономико-математических методов, моделей и пакетов прикладных программ для аналитической работы и формирования прогнозов, составления бизнес-планов, обоснованных оценок и выводов по изучаемым процессам производственно-хозяйственной практики. К названной группе относятся и широко внедряемые в настоящее время АИТ, получившие названия электронного офиса и экспертной поддержки решений. Эти два варианта АИТ ориентированы на использование последних достижений в области интеграции новейших подходов к автоматизации работы специалистов и руководителей, создание для них наиболее благоприятных условий выполнения профессиональных функций, качественного и своевременного информационного обслуживания с помощью полного автоматизированного набора управленческих процедур, реализуемых в условиях конкретного рабочего места и офиса в целом.

Электронный офис предусматривает наличие интегрированных пакетов прикладных программ, включающих специализированные программы и информационные технологии, обеспечивающие комплексную реализацию задач предметной области. В настоящее время все большее распространение приобретают электронные офисы, оборудование и сотрудники которых могут размещаться не в одном помещении. Необходимость работы с документами, материалами, базами данных конкретной организации или учреждения в домашних условиях, в гостинице и в транспортных средствах привела к появлению АИТ виртуальных офисов. Такие АИТ основываются на работе локальной сети, соединенной с территориальной или глобальной сетью. Благодаря этому абонентские системы сотрудников учреждения, независимо от того, где они находятся, оказываются включенными в общую для них сеть.

Автоматизированные информационные технологии экспертной поддержки составляют основу автоматизации труда специалистов-аналитиков. Эти работники, кроме аналитических методов и моделей для исследования складывающихся в рыночных условиях ситуаций по сбыту продукции, услуг, финансового положения предприятия, фирмы, финансово-кредитной организации, вынуждены использовать накопленный и сохраняемый в системе опыт оценки ситуаций, т.е. сведения, составляющие базу знаний в конкретной предметной области, что позволяет подготавливать обоснованные решения для поведения на финансовых и товарных рынках, вырабатывать стратегию в областях менеджмента и маркетинга.

По классу реализуемых технологических операций АИТ рассматриваются в программном аспекте и включают текстовую обработку, электронные таблицы, автоматизированные банки данных, обработку графической и звуковой информации, мультимедийные системы, экспертные системы и искусственный интеллект, оперативный поиск информации во внешних базах данных, гипертекстовые системы, автоматизацию технологии программирования.

По типу пользовательского интерфейса можно рассматривать АИТ с точки зрения возможностей доступа пользователя к информационным и вычислительным ресурсам. Так, пакетная АИТ исключает возможность пользователя влиять на обработку информации, пока она воспроизводится в автоматическом режиме. Это объясняется организацией обработки, которая основана на выполнении программно заданной последовательности операций над заранее накопленными в системе и объединенными в пакет данными. В отличие от пакетной диалоговая АИТ предоставляет пользователю неограниченную возможность взаимодействовать с хранящимися в системе информационными ресурсами в реальном масштабе времени, получать при этом всю необходимую информацию для решения функциональных задач и принятия решений.

Интерфейс сетевой АИТ предоставляет пользователю средства теледоступа к территориально распределенным информационным и вычислительным ресурсам благодаря развитым средствам связи, что делает такие АИТ повсеместно широко исполь­зуемыми и многофункциональными.

В настоящее время наблюдается тенденция к объединению различных типов информационных технологий в единый компьютерно-технологический комплекс, который носит название интегрированного. Особое место в нем принадлежит средствам коммуникации, обеспечивающим не только чрезвычайно широ­кие технологические возможности автоматизации управленческой деятельности, но и являющимся основой для создания разнообразных сетевых вариантов АИТ (локальные, многоуровневые распределенные, глобальные вычислительные сети, электронная почта, цифровые сети интегрального обслуживания). Все они ориентированы на технологическое взаимодействие совокупности объектов, образуемых устройствами передачи, обработки, накопления, хранения и защиты данных, и представляют собой интегрированные компьютерные системы обработки данных большой сложности практически неограниченных эксплуатационных возможностей для реализации управленческих процессов в экономике.

Повышение требований к оперативности информационного обмена и управления, а следовательно, к срочности обработки информации привело к созданию многоуровневых систем организационного управления объектами, какими являются, например, банковские, налоговые, снабженческие, статистические и другие службы. Их информационное обеспечение реализуют сети автоматизированных банков данных, которые строятся с учетом организационно-функциональной структуры соответствующего многоуровневого экономического объекта, машинного ведения информационных массивов. Эту проблему в новых информационных технологиях решают распределенные системы обработки данных с использованием каналов связи для обмена информацией между базами данных различных уровней. За счет усложнения программных средств управления базами данных повышается скорость, обеспечиваются защита и достоверность.

Современное состояние информационных технологий, на наш взгляд, характеризуют следующие признаки:

• наличие большого количества промышленно функционирующих баз данных большого объема, содержащих информацию практически по всем видам деятельности общества;

• создание технологий, обеспечивающих интерактивный доступ массового пользователя к этим информационным ресурсам. Технической основой данной тенденции явились государственные и частные системы связи, объединенные в локальные, региональные, национальные и глобальные вычислительные системы;

• расширение функциональных возможностей информационных систем, обеспечивающих одновременную обработку баз данных с разнообразной структурой, мультимедийных документов и гиперсред;

• включение в информационные системы элементов интеллектуализации интерфейса пользователя с экспертными системами, системами машинного перевода и других технологических средств.

В последнее время в связи с развитием инструментальных средств появился термин «новая информационная технология».

Определение

Новая информационная технология - информационная технология с дружественным интерфейсом работы пользователя, использующая персональные компьютеры и телекоммуникационные средства.

Инструментарием новой информационной технологии являются несколько взаимосвязанных программных продуктов для определенного типа компьютеров, технология работы на которых позволяет достичь поставленную цель. 

Можно выделить три основных принципа функционирования новых информационных технологий:

• интерактивный режим работы с компьютером;

• интегрированность с другими программными продуктами;

• гибкость изменения как данных, так и постановок задач.

Определение

Под «информационной безопасностью» в общем смысле понимают защищенность информации на любых носителях от случайных и преднамеренных воздействий естественного или искусственного свойства, направленных на уничтожение, видоизменение тех или иных данных, изменение степени доступности ценных сведений.

Если раньше опасность состояла в основном в краже (воровстве, копировании) конфиденциальных сведений и документов, то сейчас получило развитие незаконное оперирование компьютерными базами данных, электронными сведениями, использование электронных массивов без согласия их собственника, а также извлечение материальной выгоды из таких действий.

Особенно актуальна безопасность баз данных при работе в Internet. Сейчас вряд ли кому-то надо доказывать, что при подключении к Internet Вы подвергаете риску безопасность Вашей локальной сети и конфиденциальность содержащейся в ней информации. По данным CERT Coordination Center, в 1998 г. был зарегистрирован 2421 инцидент-взлом локальных сетей и серверов. По результатам опроса, проведенного Computer Security Institute (CSI), среди 500 наиболее крупных организаций, компаний и университетов с 1995 г. число незаконных вторжений возросло на 48,9 %, а потери, вызванные этими атаками, оцениваются в 66 млн. долл. США. Надо иметь в виду, что база данных, содержащая конфиденциальные сведения, лишь тогда полностью защищена от посягательств, когда она находится на дисках, снятых с компьютера и убранных в охраняемое место. Как только Вы установили эти диски в компьютер и начали использовать, появляется сразу несколько каналов, по которым злоумышленник имеет возможность получить доступ к Вашим тайнам без Вашего ведома. Иными словами, Ваша информация либо недоступна для всех, включая и Вас, либо не защищена на сто процентов.

В российском законодательстве политика информационной безопасности на национальном уровне регулируется Конституцией РФ и рядом федеральных законов, основные из которых: «О безопасности» от 5 марта 1992 г., «Об авторском праве и смежных правах» от 9 июля 1993 г., «О государственной тайне» от 21 июля 1993 г., с изменениями и дополнениями от 6 октября 1997 г., «Об информации, информатизации и защите информации» от 25 января 1995 г.

Федеральный закон Российской Федерации «Об информации, информатизации и защите информации» (ст. 21) устанавливает, что защите подлежит любая документированная информация, неправомерное отношение с которой может нанести ущерб ее собственнику или пользователю. Целями защиты информации являются:

• предотвращение утечки, хищения, утраты, искажения или подделки информации;

• предотвращение угроз безопасности личности, общества, государства;

• предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию и блокированию информации;

• защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

• обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Система защиты информации представляет собой комплекс организационных, технических, технологических и правовых средств, методов и мер, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее утечке или утрате. Под документами, отнесенными к категории ограниченного доступа, подразумевается информация, содержащая приоритетные достижения в экономической, политической, военной или научной сферах деятельности, разглашение которой может нанести ущерб государству или собственнику информации. Основным виновником несанкционированного доступа к ценной информации является, как правило, персонал, который в большинстве случаев в результате непреднамеренных действий, из-за невнимательности и халатности допускает утерю документов, подмену, уничтожение, копирование или считывание несанкционированных данных.

Элемент организационной защиты содержит меры управленческого и ограничительного характера, побуждающие персонал соблюдать правила защиты ценной информации учреждения, такие как: формирование и регламентация деятельности службы безопасности учреждения; регламентация системы разграничения доступа персонала к ценной информации при проведении совещаний, переговоров, приеме посетителей, работе с представителями средств массовой информации; регламентация аналитической работы по выявлению угроз ценной информации и другие мероприятия. 

Элемент инженерно-технической защиты предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территорий, здания, помещения и оборудования с помощью комплексов технических средств. Такими средствами могут быть заборы, решетки, стальные двери, сейфы, технические средства контроля, предотвращающие вынос специально маркированных предметов, документов, дискет и книг.

Элемент программно-математической защиты информации предназначен для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, локальных сетях и различных информационных ресурсах. Этот элемент включает в себя регламентацию доступа к базам данных, файлам персональными паролями, идентифицирующими командами, шифровку текстов документов при их передаче по каналам связи, а также использование продуктов программной защиты. 

Особенно опасна угроза разрушения для электронных документов, поэтому необходимо иметь в виду следующие общие рекомендации по защите информационных ресурсов.

1. Вся работа по созданию системы защиты информационных массивов должна осуществляться под руководством службы безопасности учреждения или вычислительного центра.

2. Списки сотрудников, допущенных к работе с базами данных и файлами, учитываются службой безопасности и утверждаются руководителем учреждения.

3. Списки паролей, ключевых слов, ключей шифров и т.п. разрабатываются, обновляются и хранятся в службе безопасности.

4. Немедленная замена паролей и кодов производится при обнаружении реальной угрозы несанкционированного доступа в систему.

5. Пользователям и операторскому составу запрещается использовать в работе личные, неутвержденные пароли и коды.

6. Сотруднику, отстраненному от работы или заявившему об увольнении, немедленно отказывается в допуске в информационную систему. 

При разработке и проведении в жизнь политики безопасности целесообразно брать на вооружение следующие принципы:

• невозможность миновать защитные средства;

• усиление самого слабого звена;

• невозможность перехода в небезопасное состояние;

• минимизация привилегий;

• разделение обязанностей;

• эшелонированность обороны;

• разнообразие защитных средств;

• простота и управляемость информационной системы;

• обеспечение всеобщей поддержки мер безопасности.

Рассмотрим эти принципы подробнее.

Принцип невозможности перехода в небезопасное состояние означает, что при любых обстоятельствах, в том числе нештатных, защитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ. Образно говоря, если в крепости механизм подъемного моста ломается, мост должен оставаться в поднятом состоянии, препятствуя проходу неприятеля.

Принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей.

Принцип разделения обязанностей предполагает такое распределение ролей и ответственности, при котором один человек не может нарушить важный для организации процесс. Это наиболее целесообразно для предотвращения злонамеренных или неквалифицированных действий системного администратора.

Принцип эшелонированности обороны предписывает не полагаться на один защитный рубеж, каким бы надежным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией - управление доступом и, как последний рубеж, протоколирование и аудит. Эшелонированная оборона способна, по крайней мере, задержать злоумышленника, а наличие такого рубежа, как протоколирование и аудит, существенно затрудняет незаметное выполнение злоумышленных действий.

Принцип разнообразия защитных средств рекомендует так организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками (например, умением преодолевать высокую ограду и знанием слабостей нескольких операционных систем).

Очень важен принцип простоты и управляемости информационной системы в целом и защитных средств в особенности. Только для простого защитного средства можно формально или неформально доказать его корректность. Только в простой и управляемой системе можно проверить согласованность конфигурации разных компонентов и осуществить централизованное администрирование. В этой связи важно отметить интегрирующую роль Web-сервиса, скрывающего разнообразие обслуживаемых объектов и предоставляющего единый, наглядный интерфейс. Соответственно, если объекты некоторого вида (скажем, таблицы базы данных) доступны через Web, необходимо заблокировать прямой доступ к ним, поскольку в противном случае система будет сложной и трудноуправляемой.

Последний принцип - всеобщая поддержка мер безопасности - носит нетехнический характер. Если пользователи и/или системные администраторы считают информационную безопасность чем-то излишним или даже враждебным, режим безопасности сформировать заведомо не удастся. Следует с самого начала предусмотреть комплекс мер, направленных на обеспечение лояльности персонала, на постоянное обучение, теоретическое и, главное, практическое.

Таким образом, рассмотрев некоторые основные вопросы обеспечения информационной безопасности организаций и предприятий, можно говорить о важности затронутой темы, ее актуальности в условиях массовой компьютеризации управленческих процессов. При этом необходимо выделить две наиболее существенные проблемы, без разработки которых система не сможет выполнить возлагаемые на нее задачи. Это прежде всего проблема определения состава служебной информации, подлежащей защите, и обозначения грифами тех бумажных и электронных документов, в которые она включается. Только после выполнения этих действий можно говорить о введении автономной технологии обработки и хранения таких документов, организации обучения и инструктирования персонала. И второй очень важной проблемой является формирование иерархической разрешительной системы разграничения доступа персонала к конфиденциальной служебной информации. Для компьютерных информационных технологий система разграничения доступа является краеугольным камнем защиты информационных ресурсов и достижения эффективности информационной безопасности в учреждении.

В заключение можно сказать, что вопросу защиты коммерческой информации посвящены международные и всероссийские конференции. Назовем важнейшие из них.

Международная конференция «Безопасность информации» 17 апреля 1997 г., известная как « Московская декларация», участники которой выразили предположение, что производство и управление, банковское дело, финансы, наука и образование все больше зависят от интенсивности информационного обмена, полноты, своевременности и достоверности информации. Смена угроз «холодной войны» угрозами «информационной войны» существенно повышает роль и значение информационной безопасности в системе национальной безопасности государства, обуславливает расширение ее содержания. Участники конференции дали некоторые рекомендации законодательным органам государств, правительствам государств, руководителям органов исполнительной власти, учредителям конференции.

Межрегиональная конференция «Информационная безопасность регионов России», прошедшая в октябре 1999 г. в Санкт-Петербурге. Основной целью проведения конференции было расширение взаимодействия федеральных органов государственной власти с органами государственной власти субъектов Российской Федерации в области защиты информации и безопасного ее использования; обмен опытом по проектированию, исследованию и использованию систем обеспечения безопасности информационных ресурсов; рассмотрение проблем обучения специалистов в сфере информационной безопасности.